le DIS- ISO 19011 : 2025 est publié, quelles évolutions pour les pratiques d’audit ?

Risques, distanciel, intégration multi-référentiels et… pensée critique

Le rythme des entreprises s’accélère. Le temps des certitudes est révolue. Les risques se déplacent. Les attentes des clients et des autorités s’intensifient. Les systèmes de management doivent suivre le rythme. L’audit aussi.

La future édition de la norme ISO 19011 (au stade DIS – Draft International Standard) annonce une évolution des pratiques d’audit. Elle concerne notamment :

  • l’approche par les risques recentrée sur l’essentiel,
  • la reconnaissance des pratiques d’audits à distance,
  • un cadre pour les audits intégrés
  • des exigences de compétence rehaussées.

Cette révision s’articule avec ISO/IEC TS 17012:2024 (mode d’emploi du distanciel) et avec l’amendement A1:2024 “changement climatique qui s’impose désormais à l’ensemble des normes de systèmes de management. Ensemble, ces textes visent à redessiner des pratiques d’audit plus utiles, plus fiables et mieux reconnues.

Comprendre le stade DIS : pourquoi agir maintenant ?

DIS signifie Draft International Standard. C’est un projet de norme soumis au vote des membres ISO : le texte est stabilisé, ouvert aux commentaires formels et préfigure, sauf surprise, la version finale (FDIS puis publication).

Concrètement, cela donne une direction claire pour adapter les pratiques sans attendre la sortie définitive. La fiche officielle ISO présente la portée du DIS 19011 : principes de l’audit, management du programme, conduite des audits et compétence des auditeurs. ISO

Ce que les entreprises attendent d’un audit en 2025

Elles souhaitent ;

  • des constats utilisables, proportionnés à la matérialité des risques ;
  • une logistique souple (présentiel, hybride, distance) ;
  • une meilleure traçabilité des preuves numériques ;
  • une lecture croisée des référentiels quand plusieurs normes coexistent.
  • S’ajoute un impératif transversal : intégrer le climat dans l’analyse du contexte et des parties intéressées, conformément à l’amendement A1:2024.

Ce qui change vraiment dans ISO 19011 (DIS 2025)

1) Des audits davantage pilotés par les risques

La version 2018 posait déjà l’approche par les risques. Le DIS la renforce avec :

  • des objectifs d’audit alignés sur les enjeux critiques,
  • des critères ajustés au contexte,
  • un échantillonnage et profondeur d’examen guidés par la matérialité.

Résultat attendu : des rapports plus courts, plus clairs, plus actionnables. (Cadre général : ISO 19011 2018 ; évolution : DIS 2025.)

A titre d’exemple  : (Audit dans le secteur industrie – sécurité des procédés)
Au lieu d’auditer “toutes les procédures HSE”, l’équipe d’audit concentre 70 % du temps sur les barrières critiques et les changements récents (nouvelle ligne, intérimaires, sous-traitance de maintenance).

Elle s’assure de la robustesse des contrôles, la réaction aux signaux faibles et la tenue en conditions dégradées. Le reste du temps couvre des exigences de base par échantillonnage.

2) Le distanciel devient une modalité à part entière

Le DIS étend la place du remote auditing, en cohérence avec ISO/IEC TS 17012:2024, qui précise conditions, possibilités, limites, planification, conduite et compétences associées.

Le distanciel n’a pas vocation à remplacer  systématiquement l’audit sur  site ; il s’inscrit comme un complément utile à manier tout en restant vigilant sur la collecte des preuves.

La norme insiste sur la sécurité de l’information, la qualité et la suffisance des éléments probants, et la déclaration de limites dans le rapport.

A titre d’exemple (Audit dans le secteur agroalimentaire – audit de surveillance)
La revue documentaire et des entretiens  sont réalisés en visio (achats, métrologie, HACCP), une  visite vidéo guidée du conditionnement est utilisée pour vérifier l’état des lieux, les contrôles CCP et la libération des lots. Toutefois, les activités sensibles (tests d’“allergènes” et inspection hygiène zones à risques) restent sur site à la prochaine étape.

Le rapport mentionne explicitement ces limites et justifie l’hybridation selon TS 17012.

3) Audits intégrés et combinés mieux encadrés

Le DIS consolide l’approche intégrée (qualité, environnement, SST, énergie, sécurité de l’info…), en évitant  les redondances et contradictions. On harmonise les critères et on consolide les preuves dans un récit unique axé sur les risques communs : maîtrise du changement, compétences, maîtrise documentaire, fournisseurs critiques, etc. ISO

Exemple (audit d’une ETI multi-sites certifiée 9001-14001-45001)
Un seul programme, une grille de risques transverses sont utilisées. Un entretien “processus achats” couvre simultanément conformité produit, aspects environnementaux significatifs et exigences SST des sous-traitants.

En fin d’audit, la cartographie des constats relie chaque écart à son impact business (qualité perçue, conformité réglementaire, incidents, coûts).

4) Principes d’audit et éthique, réaffirmés à l’ère numérique

Les principes de l’audit demeurent : Intégrité, présentation fidèle, confidentialité, preuves fondées sur des faits : la révision clarifie ces principes et leur application concrète dans des environnements hybrides (plateformes, partages sécurisés, enregistrements encadrés).

A titre d’exemple (Sécurisation de la preuve numérique)
L’équipe formalise une chaîne de traçabilité des captures d’écran (source, horodatage, contrôle d’accès). Elle documente les tests de fiabilité et les recoupements (journal SI, registre des anomalies, tickets support) avant de conclure.

5) Compétences : Développer la pensée critique et l’agilité numérique

Le DIS met l’accent sur :

  • la pensée critique,
  • la conduite d’entretiens à distance,
  • la cybersécurité des échanges,
  • la communication claire,
  • la dimension interculturelle,
  • et la formation continue structurée.

Les entreprises auditées doivent démontrer que l’organisation, leurs équipes et les systèmes sont capables de soutenir un audit à distance avec la même efficacité, fiabilité et sécurité qu’en présentiel.

A titre d’exemple (audit d’une entreprise industrielle certifiée ISO 9001/14001) :

Lors d’un audit de surveillance hybride, l’équipe QSE doit montrer qu’elle maîtrise l’usage d’une caméra mobile pour faire visiter en direct un atelier, que les relevés de maintenance sont stockés dans une GED accessible et sécurisée, et que les opérateurs peuvent être interrogés en visio sans perte d’information.

Quelle articulation avec la norme ISO TS 17012 et l’amendement A1:2024 (climat) ?

  • ISO TS 17012:2024 :  document technique international qui décrit le comment du distanciel (préparation, faisabilité, conduite, rapport, suivi), pour audits 1ʳᵉ, 2ᵉ et 3ᵉ parties. Il complète ISO 19011 et sécurise les pratiques.

  • Amendement A1:2024 “changement climatique : deux ajouts dans la structure harmonisée des normes de systèmes de management exigent de considérer le climat dans le contexte de l’organisme et les besoins/attentes des parties intéressées. L’amendement est d’application immédiate et concerne  31 normes.

A titre d’exemple (service B2B – ISO 9001)
Lors de l’analyse du contexte (4.1) et des parties intéressées (4.2), l’organisme examine :

  • la continuité d’activité face aux vagues de chaleur,
  • la disponibilité fournisseurs impactés,
  • les attentes clients sur l’empreinte carbone des prestations,
  • les exigences des marchés publics.

L’audit vérifie que ces éléments sont évalués, tracés et intégrés au système. Omettre ce point peut justifier un écart.

Quels impacts concrets sur les pratiques de l’audit ?

L’évolution des normes et des attentes des parties prenantes modifie la manière dont les audits sont préparés et conduits. Les impacts sont visibles à la fois pour les organismes audités et pour les organismes de certification.

Pour les organismes audités

Les entreprises doivent repenser leur manière d’aborder l’audit. La priorité est de programmer des audits centrés sur les risques majeurs, c’est-à-dire là où une défaillance pourrait avoir de lourdes conséquences.

L’audit s’inscrit davantage encore comme un outil de pilotage au service de la stratégie, et non plus une simple vérification de conformité.

Par ailleurs, les organisations doivent  disposer d’outils adaptés, de règles claires de confidentialité et d’une gestion rigoureuse des preuves numériques. Sans cette préparation, la qualité et la crédibilité des audits à distance risquent d’être compromises.

Un autre enjeu consiste à mettre à jour régulièrement la cartographie des parties intéressées, en y intégrant désormais les attentes liées au changement climatique lorsque cela est pertinent. Cette mise à jour assure que l’audit reste connecté aux enjeux réels de l’organisation et de son environnement.

La traçabilité des preuves devient également un point central : savoir d’où vient chaque élément, comment il a été obtenu et quelles limites il présente permet d’assurer la robustesse des constats.

Enfin, chaque programme d’audit doit se conclure par un retour d’expérience structuré, afin d’alimenter une amélioration continue et de renforcer la pertinence des audits futurs.

Pour les organismes de certification et les équipes d’audit

Les impacts sont tout aussi significatifs. Les équipes doivent actualiser leurs procédures, leurs gabarits et leurs méthodes d’échantillonnage, afin d’intégrer les évolutions normatives et de gagner en efficacité.

La formation devient incontournable : les auditeurs doivent être préparés à appliquer ISO/IEC TS 17012 pour le distanciel, mais aussi à maîtriser les enjeux de sécurité de l’information et à développer leur pensée critique, compétence désormais mise en avant dans la DIS ISO 19011:2025.

Les audits intégrés constituent une autre évolution majeure. Les organismes doivent apprendre à structurer ces audits multi-référentiels, de manière à éviter les doublons, harmoniser les critères et produire une analyse cohérente.

Enfin, une exigence de transparence se renforce : il s’agit de déclarer clairement dans le rapport les limites du distanciel et de justifier la suffisance des preuves au regard des objectifs d’audit.

Penser “preuves” autrement en audit à distance

Avec TS 17012, la question n’est pas “présentiel ou visio”, mais : « Les preuves seront-elles suffisantes et appropriées ? » Selon l’objectif, on combine : partage d’écran, traçabilité applicative, visite vidéo guidée, capteurs/SCADA, photographies horodatées, export contrôlé, re-performances partielles. Les constats devront mentionner les limites (angle de vue, qualité, impossibilité d’observer un geste critique) et prévoir le cas échéant un complément sur site si nécessaire.

A titre d’exemple (Audit d’un laboratoire – ISO 17025 audité via 19011 en interne)
Les méthodes critiques, comme l’étalonnage et le calcul des incertitudes, restent observées directement sur site.
Le mode distanciel sert à examiner les dossiers de validation, les compétences du personnel, la maintenance et le suivi des dérives métrologiques.
Le rapport d’audit distingue clairement ce qui a été vérifié à distance et ce qui a été confirmé sur place.

La “pensée critique” de l’auditeur

Au-delà des référentiels, l’auditeur 2025 doit questionner, recouper, hiérarchiser. La pensée critique renforce la qualité des jugements, réduit les biais et produit des recommandations utiles.

Comment évaluer (et la développer)  cette pensée critique ?

  • Observation en situation
    L’auditeur doit suivre un raisonnement clair. Il doit être capable de repérer les signaux faibles. Il doit aussi savoir reformuler avec précision ce qu’il observe.

    Grille d’analyse
    On évalue la pertinence des questions posées. On vérifie la logique du cheminement : Faits → Constat → Conclusion → Risque. On observe également l’ouverture de l’auditeur à la contradiction.

    Études de cas
    L’auditeur doit démontrer sa capacité à justifier ses arbitrages. Il doit pouvoir argumenter face à plusieurs scénarios concurrents.

    Relecture critique des rapports
    On analyse si les preuves apportées sont suffisantes. On juge la proportionnalité des constats. On s’assure que le message transmis à la direction est clair et compréhensible.

A titre d’exemple (SaaS – sécurité de l’info)
Un écart “gestion des accès” paraît mineur. L’auditeur recoupe : logs SI + matrice des rôles + tickets de support + clause contractuelle client. Il découvre un risque d’escalade de privilèges en cas de transfert de projet. La conclusion change : écart majeur et demande d’actions immédiates.

Gouvernance : l’audit  doit pouvoir s’inscrire comme un levier de performance

Bien piloté, l’audit devient un outil de management : il sécurise des décisions, accélère des arbitrages et priorise les plans d’action là où la valeur et le risque se jouent. La révision 19011, TS 17012 et A1:2024 proposent un cadre robuste pour y parvenir :

  • un programme d’audit qui suit les risques vivants,

  • des modalités souples documentées,

  • des compétences consolidées,

  • une traçabilité des preuves irréprochable. ISO+2ISO+2

Trois scénarios illustratifs (transposables)

  1. Filière agroalimentaire
    Après un épisode de fortes chaleurs, un site craint des dérives sur ses CCP (Points Critiques de Contrôle), c’est-à-dire les étapes du processus où un risque sanitaire majeur (microbiologique, chimique ou physique) doit absolument être maîtrisé.
    L’audit est mené en mode hybride : à distance pour examiner la documentation HACCP, et sur site pour vérifier les contrôles réalisés en zones sensibles.
    À l’issue, les plans de surveillance sont renforcés. Les données de température sont rapprochées des résultats de la qualité sensorielle afin de confirmer la maîtrise des CCP.

  2. Sous-traitance critique : un donneur d’ordres multi-normes (9001-14001-45001) pilote un audit intégré chez un fournisseur unique. Les risques “changement de production + déchets dangereux + consignation” sont traités ensemble, évitant trois audits successifs.

  3. Services numériques : migration cloud et nouvelles exigences client. L’audit remote s’appuie sur des journaux d’accès et des re-performances contrôlées. Les limites du distanciel sont notées ; un mini-audit site confirme la réalité des contrôles d’accès physiques.

Pour conclure,

La révision d’ISO 19011  vise à renforcer la place l’audit au cœur de la performance : utile, ciblé, proportionné, lisible.

l’ISO TS 17012 lui donne les moyens concrets d’opérer en distanciel et en hybride sans perdre en qualité de preuve.

L’amendement climat A1:2024 inscrit une attente de fond dans toutes les normes de management.

Les organisations qui s’y préparent maintenant gagneront en crédibilité auprès des parties prenantes, en réactivitédécisionnelle, et en maîtrise de leurs risques. La clé ? Un programme d’audit piloté par la matérialité, des modalitésbien choisies, et des auditeurs dotés d’une pensée critique affûtée… au service d’un rapport court, utile, et incontestable.

Références

  • ISO/DIS 19011 – Lignes directrices pour l’audit des systèmes de management : fiche officielle ISO (statut DIS, portée). ISO

  • ISO 19011:2018 (édition actuelle) – cadre de référence. ISO

  • ISO/IEC TS 17012:2024Guidelines for the use of remote auditing methods in auditing management systems. ISO

  • Communiqué conjoint IAF/ISO – 22 février 2024 (amendements “climat” à 31 normes de management). ISOI AF

  • AFNOR – articles et guide pratique sur l’amendement A1:2024 (explications, mise en œuvre). Groupe AFNOR AFNOR INTERNATIONALtelechargement.afnor.info

  • IAF Outlook – annonce de la publication de TS 17012. IAF Outlook

Vous souhaitez renforcer la compétence de vos équipes d’audit ?

Vous souhaitez réaliser un audit de votre système de management ?

contactez-nous